De AVG maakt bedrijven, klein en groot, zélf verantwoordelijk voor een veilige verwerking van persoonsgegevens. Ook wanneer zij deze dataverwerking uitbesteden aan derden. Anne Kingma, inhoudelijk expert AVG bij Syntri ERP: ‘Dit gaat over aansprakelijkheid en heldere afspraken.’
Syntri ERP tipt daarom: zorg dat u voor elke leverancier (waar werkzaamheden aan zijn uitbesteed en waarmee uw persoonsgegevens zijn gemoeid) een verwerkersovereenkomst opstelt. ‘Ook al besteed je de gegevensverwerking uit, dat mag niet ten koste gaan van de afspraken die jij met de persoon achter de persoonsgegevens hebt,’ legt Anne uit. ‘Voor al je leveranciers is het daarom cruciaal om secuur vast te leggen hoe zij zorgvuldig en veilig om moeten gaan met deze data.’
De klanten van Syntri ERP kiezen mede voor Syntri ERP voor de veilige en vertrouwelijke verwerking van bedrijfs- en persoonsgegevens. ‘Voor de verplichte verwerkersovereenkomst hebben zij niet allemaal een juridisch expert in huis,’ vertelt Anne. Hij bereidt Syntri ERP al ruim een jaar voor op de AVG. ‘Klanten klopten ook bij ons aan voor advies. Wat moeten we nu eigenlijk doen? Waar moeten wij op letten? Daar was geen klip-en-klaar antwoord op te geven. Per bedrijf verschilt de aard van de gegevens en de verwerking.’
De eigen verwerkersovereenkomsten tussen Syntri ERP en haar leveranciers waren in concept al klaar. Om de klanten van Syntri ERP werk uit handen te nemen, ging Anne met een jurist om tafel om ook een concept-verwerkingsovereenkomst op te stellen met de klant als verwerkingsverantwoordelijke en Syntri ERP als verwerker. Deze ligt inmiddels bij al onze klanten op het bureau.’
Tot slot heeft Anne nog een advies: vergeet andere leveranciers niet! Voor elke verwerker van data is het verstandig om een verwerkersovereenkomst op te stellen, zodat u niet verantwoordelijk wordt gehouden voor eventuele gebreken in de databeveiliging bij anderen. De verwerkersovereenkomst van Syntri ERP kan eventueel als basis dienen.
Voorbereiden op de AVG in 10 stappen
- Bewustwording in de organisatie
- Rechten van betrokkenen handhaven
- Overzicht gegevensverwerkingen
- Data protection impact assessment (DPIA)
- Privacy by design en Privacy by default invoeren in uw organisatie
- Functionaris Gegevensbescherming aanstellen (indien van toepassing)
- Meldplicht datalekken
- Verwerkersovereenkomsten met alle leveranciers
- Leidend privacytoezichthouder
- Toestemming registreren
Syntri ERP heeft deze stappen al doorlopen. Heeft u vragen over de AVG en de consequenties voor uw organisatie? Neem vrijblijvend contact op met Anne Kingma (a.j.kingma@syntri.nl).
